Hace poco se encontró una falla de seguridad en los routers ZTE ZXV10 W300, más conocido como "El Portaretratos". La paranoia viene porque Movistar pone en riesgo a miles de clientes al proporcionar este aparato. Una vulnerabilidad que puede llegar a nivel de espionaje masivo, si posees este aparato toma las siguientes precauciones.
El análisis que mostraré es una cortesía de Camilo Galdos [Dedalo], especialista en seguridad informática y hacking. Asimismo, la vulnerabilidad la publicó Cesar Neira [@alguien_tw]. Cabe señalar que el problema con los Router ZTE ZXV10 W300 es que tienen un Backdoor (Puerta Trasera), puerta que será utilizada para fines maliciosos, lastimosamente, no siempre son un error involuntario, en ocasiones son fallas creadas con la intención de tener una entrada secreta. Por ello Dédalo deja un cuestionamiento debatible: "En los últimos años Movistar ha instalado a sus usuarios este router. ¿Será una casualidad? o ¿Movistar solicitó routers con backdoors para mantenernos bajo control?"
¿POR QUÉ ESTÁN EN PELIGRO LOS USUARIOS?
- Un atacante buscará la IP de un usuario con el router ZTE ZXV10 W300.
- Luego encontrará la dirección MAC.
- Posteriormente ejecutará el servicio Telnet de la IP_PUBLICA para acceder al router.
- Para ingresar solo debe colocar el usuario admin y el password XXXXairocon, los números (XXXX) son los últimos 4 dígitos de la MAC. Es decir, que si la dirección MAC es: 11:22:33:44:55:66, el password será: 5566airocon.
Si alguien quisiera espiar a una persona con este router, solo tendrá que tener la dirección IP y MAC, y para ello, existen muchos recursos, desde herramientas para capturar una IP de un usuario, hasta métodos como el wardriving para analizar las wifis que nos rodean, indicando la dirección MAC de la conexión. Un peligro al que están expuestos miles de peruanos.
Accediendo por telnet y listado de credenciales. (imagen de alguien)
RECOMENDACIÓN:
+ Paso sencillo:
Llamar al 104 de Movistar y que la operadora lo guie. [suerte]
+ Paso complejo:
- Configurar listas de control de acceso en el router para restringir el acceso al servicio telnet desde Internet.
- Deshabilitar el servicio SNMP o en todo caso cambiar la comunidad SNMP por defecto.
Es decir, deberás configurar el router para evitar que haga conexiones desde la WAN. Para ello, en las opciones del router, en la pestaña del admin van a ACL configuration, y colocar que desean controlar su router solo desde LAN. Si van a hacer trabajo externo, en la pestaña admin dice: SNMP, allí hay una opcion con check que dice: "Enable SNMP", deben desactivarlo. Aquí un video que podrá ayudarles a encontrar las opciones del router.